Windows Server 2012 R2 Probleme bei der Einrichtung von Smartcards (2FA) in Windows!

[Ben1804]

Hallo Liebe CB-Community,

ich versuche seit über einer Woche eine 2FA mittels Smartcard in meinem Netzwerk einzurichten und stoße immer wieder auf neue Hindernisse. Aktuell komme ich selbst mit meinem Freund Google und anderen Foren nicht mehr weiter. Daher hoffe ich, dass ihr mir vielleicht weiterhelfen könnt.

Vorab die technischen Eckdaten (Server):

OS: Windows Server 2012R2 (64 Bit)

Modell: Server PER730

CPU: Intel(R) Xenon(R) CPU E5-2640 v4 @2.40GHz

RAM: 64GB


Technische Eckdaten (Clienten):

OS: Windows 7 Professional (64 Bit)

Modell: Dell Precision 7720

CPU: Intel(R) Core(TM) i7-6920HQ @ 2,90Ghz

RAM: 32GB


Smartcards/Reader:

2x MD830 FIPS Lvl 2 Operator cards f. Vsec

1x CT40 Reader per USB (alle Laptops verfügen zusätzlich über eigene Reader)

5x MD830 FIPS Lvl 2 Smartcards



Mein aktueller Stand ist, dass ich eine Karte mit einem Zertifikat beschreiben konnte, aber Windows die Anmeldung nach der PIN-Eingabe nicht zulässt.

Fehler:
"Sie konnten nicht angemeldet werden. Sie können sich nicht mithilfe einer Smardcard anmelden, da die Smartcardanmeldung für ihr Benutzerkonto nicht unterstützt wird. Wenden Sie sich an den Systemadministrator, um sicherzustellen, dass die Smardcardanmeldung für Ihr Unternehmen konfiguriert ist."


Vielen Dank im Voraus!

Gruß
Bene

 

[Evil E-Lex]

Aha. Und wir sollen jetzt raten, was du alles schon in deinem AD konfiguriert hast? Die Fehlermeldung ist doch eindeutig.

 

[Ben1804]

Aha. Und wir sollen jetzt raten, was du alles schon in deinem AD konfiguriert hast? Die Fehlermeldung ist doch eindeutig.

Für mich hört sich die Fehlermeldung auch eindeutig an, aber ich kann sie dennoch nicht abstellen.
Aus diesem Grund wende ich mich an das Forum.

Ich wäre für jeden Lösungsvorschlag sehr dankbar.

Ergänzung (1. August 2019)

Ich liefere gerne alle Infos, die benötigt werden.

 

[Evil E-Lex]

Sorry, so läuft das hier nicht. Du musst schon dein Problem konkret beschreiben. Was hast du bereits konfiguriert, wo hakt es? In deinem ersten Beitrag steht sinngemäß nur "geht nicht". Die Hardwaredaten sind darüberhinaus für ein Softwareproblem völlig ohne Belang.

 

[Aludrin]

Um welchen Benutzer handelt es sich? Unterstützt die Zertifikatsvorlage eine Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)? Ist es überhaupt ein Domänen-Benutzer?

 

[Ben1804]

Entschuldigt bitte die späte Antwort.

Die Situation hat sich nun grundlegend geändert.


Ich soll die CA nun nochmal komplett entfernen und nun eine 2-stufige PKI erstellen.

Eine Root CA (offline) und eine Sub CA.

Nun die neue Fragestellung:

Wie gehe ich das am Besten an und ist es möglich eine Root CA extern zu installieren, da mein Chef keine Installation auf dem Server wünscht. (ich bin der Meinung, dass wir daran nicht vorbeikommen, mittels virtueller Festplatte)


Ich bin um jeden Tipp sehr dankbar.


Gruß
Ben

Ergänzung (8. August 2019)

In jedem Fall muss ich erstmal eine zweite Win Server 2012r2 Festplatte erstellen oder?

 

[Aludrin]

Das Thema zweistufige PKI ist ein Thema für sich und eigtl eine Schulung wert, damit das Ganze sicher betrieben wird. Es ist nunmal nicht in einem 10 zeiligen Forumsbeitrag zu erklären.

Entweder behilfst du dir über die offiziellen MS Dokumente, Installationsanleitungen von Drittquellen oder lässt dich von deinem Chef zu einem Lehrgang anmelden.

Ich empfehle folgenden:
https://www.ntsystems.de/pki2016.html

http://www.rebeladmin.com/2018/06/step-step-guide-setup-two-tier-pki-environment/

Wenn man aber nicht versteht, wie, wo, wann, was passiert, ist die 2 Tier PKI im Falle eines Falles nichts wert.

 

[Ben1804]

Das wäre mir auch wesentlich lieber, aber ich werde leider ins kalte Wasser geschmissen und habe bis Nachmittag Zeit. Leider ein fehleranfälliges Mammutprojekt für mich.

 

[Aludrin]

Dann hilft dir der zweite Link eine funktionierende Umgebung zu errichten. Der Betrieb ist dann wieder eine andere Sache...

 

[Ben1804]

Kannst du mir vielleicht noch bei folgenden Fragen helfen:

Wie kann ich mit der Installation einer Root CA beginnen? Ist es möglich sie extern zu installieren
(in meinem Fall stehen mir Clients mit Win7 zur Verfügung)

und dann lediglich das Zertifikat und die Sperrliste auf die SUB-CA zu kopieren?

Ergänzung (8. August 2019)

Ich versuche ihn zu überreden, dass ich auf dem Server arbeiten kann.

Ist es in diesem Schritt möglich eine virtuelle Festplatte für die Root-CA zu erstellen oder muss ich dafür eine ISO im Vorfeld bereitstellen. Wenn ja, wie mache ich das am Besten.

Entschuldigt bitte die vielen hektischen Fragen, aber ich habe wirklich großen Zeitdruck, da ich ab morgen Mittag keine Möglichkeit habe am Server zu arbeiten und nächste Woche im Urlaub bin.
(Natürlich kann ich nur entspannen, wenn ich dieses Thema abgeschlossen habe, da ich anschließen für drei Wochen im Ausland arbeiten werde)


Anhang anzeigen 808307

 

[Aludrin]

Die Root-CA bedingt einen weiteren Server.
Erstelle für die Root-CA einfach eine VM. Evtl planst du das ganze auch als Offline CA. Du kannst die Root(Offline)-CA auch als Container oder Linux-VM betreiben. Natürlich muss die Root-CA entsprechend gesichert werden usw.

Windows 7 Clients können/sollten keine CA spielen.
Höchstens als Host für deine VM.

Eine CA auf einem DC zu betreiben (und beides auch noch auf einem einzigen Blech) ist definitiv nicht zu empfehlen, da du im Falle eines Upgrades immer erst die CA migrieren musst, aber die Entscheidung scheint ja schon gefallen zu sein.

Das alles ist auch nun wirklich kein "Projekt", das für jemand unerfahrenes innerhalb 4-5 Stunden sinnvoll zu erledigen ist.

Vielleicht hilft dir zum ganzen Thema zusätzlich dazu der Link:
https://www.msxfaq.de/signcrypt/setupca.htm

Nachtrag:
https://www.msxfaq.de/signcrypt/setupca2008.htm Für Setup auf 2008 (Grundlegend das Gleiche bei 2012R2)

 

[Ben1804]

Hallo Leute,

entschuldigt bitte die lange Pause.

Aktuelle Situation ist, dass ich nun eine funktionierende zweistufige PKI installiert habe.
(Offline-Root-CA)

Nun habe ich mehrere Smartcards beschrieben und die Windows-Anmeldung funktioniert, solange ich über die Workstation eine Verbindung zur Domäne herstellen kann.

Gibt es eine Möglichkeit sich auch ohne Netzwerk/Internet mittels Smartcard anmelden zu ermöglichen?
(Beispielsweise im Zug ohne WIFI)

Vielen Dank!

Ergänzung (24. September 2019)

Zweite Frage wäre, wie kann ich einstellen, dass sich der Computer sofort sperrt, wenn ich die Smartcard entferne.

Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards

habe ich bereits auf "Arbeitsstation sperren" gestellt. Leider sperrt sich der Computer trotzdem nicht.

 

[Ben1804]

Guten Morgen zusammen,

ich wollte nur sagen, dass ich es jetzt geschafft habe.

Das Problem tritt weiterhin auf, wenn ich den Smartcard-Dienst auf dem Server aktiviere.
Aus diesem Grund habe ich die Zertifikate exportiert und über eine Zusatzsoftware auf die Karten geschrieben.

Ich habe ein neues GPO verknüpft und auf jedem Clienten die Dienste manuell aktiviert. Nun funktioniert die Anmeldung außerhalb der Domäne und die automatische Abmeldung beim Abziehen der Karten.

Vielen Dank für eure Hilfe,
Bene

Ergänzung (10. Oktober 2019)

-closed-